image

NSA publiceert advies voor het beveiligen van Kubernetes-omgevingen

woensdag 4 augustus 2021, 10:35 door Redactie, 7 reacties

De Amerikaanse geheime dienst NSA heeft in samenwerking met het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security advies gepubliceerd voor het beveiligen van Kubernetes-omgevingen.

Kubernetes is een opensourcesysteem voor het automatiseren van de uitrol en het beheer van applicaties die in containers draaien. Kubernetes-clusters worden vaak in een cloudomgeving gehost en bieden volgens de NSA meer flexibiliteit dan bij normale softwareplatformen het geval is.

Een kubernetes-cluster bestaat uit een aantal zogeheten control planes en één of meer fysieke of virtuele machines genaamd worker nodes. De worker nodes hosten de Pods, die één of meer containers bevatten. Deze containers zijn images met 'ready-to-run' software die alles bevat om een applicatie te draaien.

Volgens de NSA zijn Kubernetes-omgevingen geregeld het doelwit van aanvallen, en dan met name als doel het stelen van gegevens. Ook komt het voor dat de onderliggende infrastructuur wordt misbruik voor cryptomining. In de "Kubernetes Hardening Guidance" doen de NSA en het CISA verschillende aanbevelingen om Kubernetes-omgevingen extra te beveiligen (pdf).

Zo wordt aangeraden om containers en Pods op kwetsbaarheden en misconfiguraties te scannen, en met zo min mogelijke rechten te laten draaien. Verder wordt netwerksegmentatie aangeraden om de gevolgen van een aanval te beperken en moeten firewalls worden gebruikt om niet noodzakelijke netwerkverbindingen te voorkomen. Ook adviseren de NSA en het CISA het gebruik van sterke authenticatie en autorisatie om toegang van gebruikers en beheerders te beperken en zo het aanvalsoppervlak te verkleinen.

Image

Reacties (7)
04-08-2021, 11:15 door Anoniem
Jaren geleden was al bekend dat NSA zelf Openstack gebruikt, dus ik neem aan ook Kubernetes:

https://www.youtube.com/watch?v=NgahKksMZis
04-08-2021, 12:15 door Anoniem
Thanks
04-08-2021, 21:16 door linuxpro
Dus netwerksegmentatie en rechten beperken, wauw, schokkend advies hoor.
04-08-2021, 23:36 door Anoniem
Door linuxpro: Dus netwerksegmentatie en rechten beperken, wauw, schokkend advies hoor.

Als jij voor "iedereen" een advies zou moeten geven, waar kom je dan mee ?
05-08-2021, 08:12 door Anoniem
Door linuxpro: Dus netwerksegmentatie en rechten beperken, wauw, schokkend advies hoor.
Tsja, er blijven organisaties die denken dat als ze <techniek x> gebruiken, ze opeens 100% veilig zijn. In dit geval is X Kubernetes.
05-08-2021, 10:40 door Anoniem
Door Anoniem:
Door linuxpro: Dus netwerksegmentatie en rechten beperken, wauw, schokkend advies hoor.
Tsja, er blijven organisaties die denken dat als ze <techniek x> gebruiken, ze opeens 100% veilig zijn. In dit geval is X Kubernetes.
netwerksegmentatie werkt alleen maar vertragend.
05-08-2021, 13:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door linuxpro: Dus netwerksegmentatie en rechten beperken, wauw, schokkend advies hoor.
Tsja, er blijven organisaties die denken dat als ze <techniek x> gebruiken, ze opeens 100% veilig zijn. In dit geval is X Kubernetes.
netwerksegmentatie werkt alleen maar vertragend.
Alles wat meer is dan een directe kabel tussen 2 systemen heeft de potentie vertragend te werken, wat is je punt? Goed ingerichte segmentatie is absolute noodzaak om complexe netwerken veilig te houden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.